Kaspersky Lab descubre una campaña de ciberespionaje a Corea del Sur
El equipo de analistas de seguridad de Kaspersky Lab ha publicado un informe que analiza una campaña de ciberespionaje activa dirigida principalmente a think-tanks de Corea del Sur.
Por Kaspersky Lab
Kaspersky Lab es la mayor empresa privada de soluciones de seguridad endpoint del mundo. La compañía se incluye entre los 4 mayores proveedores de soluciones de seguridad endpoint del mundo*. A lo largo de sus más de 15 años de historia, Kaspersky Lab ha seguido innovando en seguridad TI y ofrece soluciones de seguridad eficaces para grandes empresas, PYMES y consumidores. Actualmente, Kaspersky Lab opera en casi 200 países y territorios de todo el mundo, ofreciendo protección a más de 300 millones de usuarios. Más información en www.kaspersky.es
Esta campaña denominada Kimsuky es limitada y muy específica. De acuerdo con el análisis técnico, los atacantes estaban interesados en 11 organizaciones con sede en Corea del Sur y dos entidades en China, incluyendo el Instituto Sejong, el Instituto de Análisis de Defensa Surcoreana (KIDA), el Ministerio de Unificación Surcoreano, Hyundai Merchant Marine y los partidarios de la Unificación de Corea.
Los primeros signos de actividad de esta amenaza se dieron el 3 de abril de 2013 y las primeras muestras del troyano Kimsuky aparecieron el 5 de mayo de 2013. Este programa espía, altamente sofisticado, contiene varios errores básicos de codificación para poder secuestrar páginas y se comunica con los equipos infectados a través una web de un servidor de correo electrónico gratuito de Bulgaria (mail.bg).
Aunque el mecanismo de entrega inicial del troyano sigue siendo desconocido, los analistas de Kaspersky Lab creen que es muy probable que el malware Kimsuky se difunda a través de correos de phishing. Este troyano tiene la capacidad de realizar diversas funciones de espionaje entre las que destacan el registro de pulsaciones de teclas, robo del directorio de contactos, control de acceso remoto y el robo de documentos HWP (procesador de textos en coreano del paquete Office de Hancom, utilizado ampliamente por el gobierno local). Los cibercriminales están utilizando una versión modificada de la aplicación de acceso remoto TeamViewer que les sirve como una puerta trasera para secuestrar los archivos de los equipos infectados.
El malware Kimsuky contiene un programa malicioso diseñado para robar archivos HWP, lo que sugiere que estos documentos son uno de los principales objetivos de los atacantes. Las pistas encontradas por los expertos de Kaspersky Lab podrían ser indicios de que el origen de los ciberdelincuentes podría ser Corea del Norte.
Existen varias pistas que hacen posible suponer que Corea del Norte podría ser el origen. En primer lugar, encontramos víctimas del ataque como las universidades de Corea del Sur que realizan investigaciones sobre asuntos internacionales e impulsan las políticas de defensa para el gobierno, una compañía naviera nacional y think-tanks para la unificación de Corea. En segundo lugar, una cadena de la ruta de compilación contiene palabras en coreano (por ejemplo, algunas de ellas podrían ser traducidas en comandos de «ataque» y «finalización»).
[smartads]
En tercer lugar, dos direcciones de correo electrónico desde las que las bots envían informes de estado y transmiten información de los sistemas infectados a través de archivos adjuntos (iop110112@hotmail.com y rsh1213@hotmail.com), están registradas con el mismo nombre: «Kim»: «kimsukyang» y «Kim asdfa» . A pesar de que estos datos de registro no proporcionan datos concretos sobre los atacantes, las direcciones IP de origen se encuentran en las provincias chinas de Jilin y Liaoning. Los ISPs que ofrecen acceso a Internet en estas provincias y también se cree que suministran sus servicios a parte de Corea del Norte.
Otra interesante característica «geopolítica» del malware Kimsuky es que sólo desactiva las herramientas de seguridad de AhnLab, una compañía anti-malware de Corea del Sur.
